FMV
Försvarets materielverk Tel: 08-782 40 00 registrator@fmv.se Org.nr: 202100-0340
115 88 Stockholm Fax: 08-667 57 99 www.fmv.se VAT nr: SE202100-0340-01
Besöksadress: Banérgatan 62
Ej sekretess
Datum Diarienummer Ärendetyp
2021-01-25 20FMV6438-2 12.4 Dokumentnummer Sida 1(4) Regeringskansliet Försvarsdepartementet 103 33 Stockholm
Er referens Ert datum Er beteckning
Andreas Krantz 2020-10-23 Fö2020/00954
EU:s cybersäkerhetsakt – kompletterande nationella
bestämmelser om cybersäkerhetscertifiering (SOU 2020:58)
Inledning
Försvarets materielverk (FMV) har tagit del av cybersäkerhetsutredningens delbetänkande EU:s cybersäkerhetsakt – kompletterande nationella bestämmelser om cybersäkerhetscertifiering (SOU 2020:58) och har nedanstående synpunkter att meddela i detta remissvar.
I betänkandet föreslås att FMV som nationell myndighet för cybersäkerhetscertifiering ska fullgöra de tillsynsuppgifter som följer av EU:s cybersäkerhetsakt och att FMV således får de befogenheter som framgår av aktens bestämmelser.
Enligt artikel 58 i cybersäkerhetsakten ska den nationella myndigheten för
cybersäkerhets-certifiering vara oberoende av de enheter som den utövar tillsyn över vad gäller dess organisation, beslut om finansiering, rättsliga struktur och beslutsfattande.
Vidare framgår i artikel 58 att medlemsstaterna ska säkerställa att den nationella myndigheten för cybersäkerhetscertifiering i samband med utfärdande av europeiska cybersäkerhetscertifikat är strikt avskilda från deras ansvarsområden i förhållande till tillsynsverksamheten och att dessa verksamheter utförs oberoende av varandra.
I bilagan till cybersäkerhetsakten anges vilka krav som organen för bedömning av överenstämmelse ska uppfylla. Bland annat framgår att organen för bedömning av överensstämmelse, deras högsta ledning och den personal som ansvarar för att utföra
Ej sekretess
Datum Diarienummer Ärendetyp
2021-01-25 20FMV6438-2 12.4
Dokumentnummer Sida
2(4)
installerar, köper, äger, använder eller underhåller den IKT-produkt, IKT-tjänst eller IKT-process som bedöms.
Inom cybersäkerhetsakten pågår för närvarande utveckling av två certifieringsordningar; säkra IT-produkter respektive molntjänster. Kommissionen överväger för närvarande även att införa certifiering inom 5G-området och i framtiden för ytterligare områden. Vart och ett av dessa är komplexa tekniska områden med stor betydelse för samhället.
Sammanfattning
Tillsynsverksamhetens oberoende bör tydliggöras i FMV:s instruktion.
FMV befinner sig i en utmanande tillväxtfas parallellt med försvarsområdets tillväxt i stort. Denna pågående omställning ställer höga krav på FMV möjligheter att rätt allokera och fokusera resurser samt att utnyttja erforderlig kompetensbas på ett effektivt sätt. Införandet av den nationella cybersäkerhetsmyndigheten vid FMV får inte inkräkta på denna pågående verksamhet och styrning. Det är centralt att finansieringen av denna nya myndighetsfunktion till fullo sker genom särskild tilldelning av extra ekonomi just för detta ändamål. Detta är även rättsligt angeläget med hänsyn till frågan om oberoende.
FMV anser vidare att som en del i att säkra oberoendet bör finansieringen av den nya
cybersäkerhetsmyndigheten vid FMV ske över ett eget anslag vid sidan om anslag 1.11. För 2021 föreslås att detta anslag uppgår till 10 000 000 kronor och preliminärt ca 20 000 000 kronor för år 2022 samt ca 30 000 000 kronor från år 2023 och framåt.
Synpunkter
Risken för mål- och intressekonflikt
FMV:s huvuduppdrag är att upphandla varor och tjänster för Försvarsmaktens behov. I detta ingår produkter som är, eller kan vara, certifierade. Som en särskild myndighetsuppgift finns även certifieringsorganet CSEC inom ramen för FMV:s myndighetsorganisation. Till dessa två uppdrag föreslår utredningen att en tredje uppgift tilldelas FMV, att vara nationell cybersäkerhetsmyndighet med tillsynsansvar enligt EU:s cybersäkerhetsakt. FMV vill lyfta fram de synpunkter myndigheten redan framfört till utredaren om att vi ser en utmaning med att både certifieringsverksamhet och tillsyn hanteras inom ramen för myndighetens organisation. Ifall en sådan konstruktion förordas bör ledning kunna hämtas från hur den militära flyginspektionen i Försvarsmakten är organiserat . Den är en fristående enhet organiserad i Försvarsmaktens Högkvarter och lyder direkt under regeringen i frågor om tillsyn. I övriga frågor lyder militära flyginspektionen under
överbefälhavaren.
För att undvika mål- och intressekonflikter anser FMV således att det är nödvändigt att den del av FMV som föreslås utgöra nationell cybersäkerhetsmyndighet får en oberoende ställning i
förhållande till FMV:s övriga verksamhet, inklusive till CSEC. Detta bör tydliggöras i FMV:s instruktion. CSEC:s oberoende till FMV:s övriga verksamhet har skapats genom ett system där myndighetens överdirektör godkänner, medan styrelseordförande fastställer, CSEC:s
verksamhetsplan. Den operativa verksamheten inom CSEC leds av en verksamhetschef som inte har några andra uppdrag inom myndigheten. Chefen för CSEC rapporterar till myndighetens
Ej sekretess
Datum Diarienummer Ärendetyp
2021-01-25 20FMV6438-2 12.4
Dokumentnummer Sida
3(4)
överdirektör i frågor som har betydelse för verksamhetens oberoende ställning. För uppgiften att, när det blir aktuellt, utfärda europeiska cybersäkerhetscertifikat på assuransnivån hög besitte r FMV redan den nödvändiga kompetensen inom CSEC och kan hantera nya certifieringsordningar. Resurser
FMV bedömer att den nationella myndigheten för cybersäkerhetscertifiering, fullt utbyggd,
kommer att behöva 15 årsarbetskrafter, varav 5 årsarbetskrafter behöver vara på plats redan under 2021. Personal-, rese-, utbildnings-, lokal-, IT- och övriga administrationskostnader för 5
årsarbetskrafter under 2021 beräknas uppgå till ca 10 000 000 kronor och preliminärt ca 20 000 000 kronor för år 2022 samt ca 30 000 000 kronor från år 2023 och framåt. FMV
återkommer dock i budgetunderlaget för 2022-24 med resursbehovet för kommande helår. EU:s certifieringsordningar är ännu inte etablerade. Certifiering är i dagsläget dessutom tänkt att vara frivilligt tills vidare. Nivån för åren för 2022 och framåt är således beroende av vilka områden som ska omfattas av tillsyn enligt cybersäkerhetsakten och hur omfattande verksamheten blir.
FMV föreslår att verksamheten finansieras genom att ett nytt anslag inrättas. Detta för att tydligt kunna särredovisa finansiering kopplad till den nationella myndigheten för
cybersäkerhetscertifiering och därvid möjliggöra att verksamheten hålls åtskild från annan verksamhet inom FMV (oberoendeperspektivet).
Uppbyggnad av verksamheten och rekrytering av personal måste inledas redan under första kvartalet 2021 för att möjliggöra att verksamhetsstart den 28 juni. FMV uppskattar att minst hälften av den beräknade årskostnaden 2022 för den nationella cybersäkerhetsmyndigheten behöver tillföras som anslag 2021.
Den nya verksamheten kan inte förväntas erhålla några avgiftsinkomster redan under 2021 och för 2022 finns ingen prognos för varken avgifternas storlek eller omfattning. Det är heller inte klart hur avgifterna ska disponeras. FMV anser att det är chefen för den nya verksamheten som genom sin verksamhetsplanering kommer att kunna ta fram ett sådant underlag, tidigast inför regeringens höständringsbudget.
Oavsett den kommande avvägningen mellan anslags- respektive avgiftsfinansiering så behöver uppbyggnaden under 2021 dock i sin helhet vara anslagsfinansierad. Intill dess måste FMV:s budgetunderlag för 2022-24, avseende denna verksamhet, tillåtas vara preliminär.
Angående författningsförslagen
Uppgiften att vara ackrediterat organ för bedömning av överensstämmelse enligt EU:s
cybersäkerhetsakt kan delegeras till CSEC, som både har kompetens och redan i dag är avskild från övriga FMV:s myndighetsorganisation. Utredaren föreslår att när chefen för det ackrediterade organet för bedömning av överensstämmelse utövar verksamhet enligt EU:s cybersäkerhetsakt är denne inte underställd myndighethetschefen. Chefen för CSEC rapporterar till myndighetens överdirektör i frågor som har betydelse för verksamhetens oberoende ställning., vilket motsvarar kravet i cybersäkerhetsaktens artikel 58.4.
Ej sekretess
Datum Diarienummer Ärendetyp
2021-01-25 20FMV6438-2 12.4
Dokumentnummer Sida
4(4)
Avslutningsvis tillstyrker FMV utredarens förslag till ändring i offentlighets och
sekretessförordningen (2009:641) för att möjliggöra sekretess vid utredning och tillsyn hos den nationella myndigheten för cybersäkerhetscertifiering. Då samma uppgifter kan komma att hantera även av CSEC bör bestämmelsen utvidgas till att även omfatta certifiering.
I den slutliga handläggningen har deltagit överdirektören Eva Hagwall, chefen för ledningsstaben Thomas Engevall, chefen ekonomistaben Boel Enjin och chefen för juridik- och säkerhetsstaben Anders Sjöborg deltagit. Den sistnämnde har tillika varit föredragande.
Försvarets materielverk
Göran Mårtensson Generaldirektör
Anders Sjöborg
Chef Juridik- och säkerhetsstaben
Sändlista
Regeringskansliet, Försvarsdepartementet FMV arkiv